Pages: 1/1 First page 1 Final page [ View by Articles | List ]

基于时间差的SQL盲注技巧

  [多云 September 7, 2008 17:10 | by !4p47hy ]
冷漠PS:基于时间差的SQL盲注技巧 2008 DEFCON 16全球黑客大会上发布的论文,和之前发布的盲注工具配合起来使用。

作者提出的技巧的主要思路是:在盲注(blind SQL injection)时,如果不同SQL injection 指令的结果,无法由 HTTP Response 本身得知,那么可以用时间差的方式判断。可以设计一个很耗时的 SQL 指令,这时如果 SQL injection 成功,那么这个SQL injection 指令的执行结果,会影响到 Web server 回复 HTTP response 的速度,这个就可以用来判断 SQL injection 指令执行的结果。
Tags: , , , ,

MarathonTool 功能强大的盲注工具

  [多云 September 7, 2008 17:00 | by !4p47hy ]
2008 DEFCON 16全球黑客大会上发布的功能强大的盲注工具

当时论文题目是:
Time-Based Blind SQL Injection using heavy queries:
A practical approach for MS SQL Server, MS Access, Oracle and MySQL databases and Marathon Tool
Pages: 1/1 First page 1 Final page [ View by Articles | List ]